東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

人材育成支援サービス業 E社

従業員のITリテラシーとのバランスを考慮した
セキュリティ対策の強化を推進

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 サービス業
従業員数 ~20名
セキュリティ体制 複数/兼務/経営者
事業内容 従業員の仕事力の把握を目的とした独自の適性検査サービスを展開しています。また、人材育成のための研修や組織・人事に関するコンサルティング事業も行っています。コンサルティング事業では、人材の個性に注目した人事戦略と組織づくりなど、総合的なサポートを行っています。
01

背景と状況

セキュリティ対策に漠然とした不安があり評価を受けたい

矢印
02

課題

自社の状況に合わせたセキュリティ対策の強化が必要

矢印
03

取組内容

優先度の高い課題に取り組みセキュリティ対策を強化

矢印
04

結果と今後

取り組んでいるセキュリティ課題に継続して注力する

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティ対策は実施してきたが現状の対策に漠然とした不安がある

他業務を兼務する担当者2名で管理 ベンダーの提案や意見に頼りがち 従業員のリテラシーに個人差あり

セキュリティ担当は2名が兼務しています。必要なセキュリティ対策を実施してきたものの、ベンダーの提案をそのまま受け入れることが多く、現状のセキュリティ対策に不安がありました。また、従業員のITリテラシーには個人差があることから、組織内で実現可能なセキュリティ対策を講じたいと考えていました。

02

セキュリティ課題

セキュリティ対策を見直し実現可能な内容を検討する

当初の課題
現状のセキュリティ対策の第三者評価を得たい
ITリテラシーに関わらず実施できる対策を検討
インシデント対応の具体的なフローの手順化
矢印
専門家派遣支援で明らかになった課題
ベンダーに依頼しているサポート範囲の明確化
クラウドサービスの契約内容や役割分担の確認
情報資産の棚卸しの実施とデータの必要性の精査

03

取組内容

ITリテラシーを考慮したセキュリティ対策の実行

STEP1 STEP1

本事業の専門家とのヒアリングで課題を洗い出し、取り組む課題をピックアップ

本事業の専門家のヒアリングによって、現状のセキュリティ対策への評価と課題の洗い出しを行いました。洗い出された課題の中でも、「パスワード管理の見直し」、「インシデント対応フローの作成」、「ベンダーとの契約内容の精査」といった優先度の高い課題に取り組むことにしました。

STEP2 STEP2

個人差がある従業員のITリテラシーを考慮したセキュリティ対策を検討

従業員のITリテラシーに個人差があるため、パスワード管理の見直しに対しても、現場の運用を考慮した対応を検討する必要がありました。複雑なパスワードの設定を行うと、現場の運用に混乱が生じることが予想されたため、物理的なUSBキーによるパスワード認証の導入を検討しています。

矢印
STEP3 STEP3

社内でワークショップを行い、インシデント発生時の具体的な対応フローを作成

本事業のワークショップを参考に、社内でもワークショップを実施し従業員同士で議論しながら、インシデント発生時の具体的な手順を整理して、インシデント対応フローを作成しています。あわせて、情報資産の棚卸しも進めており、自社にとって本当に必要な情報資産かどうか見極めを行っています。

矢印
STEP4 STEP4

ベンダーとの契約内容やセキュリティ機器の機能・設定を確認

ベンダーのサポート範囲の確認のため、ベンダーとの契約内容およびセキュリティ機器の機能や設定を確認しました。本事業の専門家からベンダーへの確認事項のアドバイスを受け、具体的な確認を進めることができました。クラウドサービスについても、選定のための基準を作成しました。

本事業の専門家派遣で、現状のセキュリティ対策に関する課題をリスト化し、優先度の高い課題から取り組みました。例えば、パスワード管理では、従業員のITリテラシーに個人差があることから、複雑なパスワード設定では現場の運用が困難になるという課題がありました。そのため、本事業の専門家から物理的なUSBキーによるパスワード認証の提案を受け、導入に向けて検討しています。
インシデント対応フローの作成については、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威」などの資料を参考に、ランサムウェア感染の対策などの具体的な対応を検討しています。本事業のワークショップを参考に、社内でも同様のワークショップを行い、従業員同士で議論しながら、インシデント発生時に「誰が」「どのような対応を行うべきか」という具体的な手順を整理し、対策内容の文書化を進めています。さらに、各部門に依頼して情報資産の棚卸しを進めており、「保存するべき資産」と「処分するべき資産」の振り分けを行い、自社にとって本当に必要な情報資産を見極めています。ベンダーとの関係の見直しと強化のため、本事業の専門家から事前に確認事項のアドバイスを受け、現在の契約内容やセキュリティ機器の機能や設定に関する確認も行いました。

04

結果と今後

セキュリティ対策への不安を解消。引き続き課題に注力

洗い出されたさまざまな課題に対しては、まだ取組を開始した段階ですが、具体的な対応の方向性が明確となったため、以前から感じていた不安感は解消されました。令和6年度には、ネットワーク環境の更新を予定していますが、ベンダーに対して当社としてのセキュリティ要件や優先順位を伝えることで、必要なセキュリティ対策が実現可能な製品の導入を進めていく予定です。

経営層

経営層としての声

セキュリティに詳しい人材やコスト面で制約もありますが、当社の事業展開において、セキュリティ対策は必要不可欠な領域です。当社の環境を理解いただき、さまざまなご提案やご支援をいただけたことに感謝しております。

参加者としての声

セキュリティ対策に関する理解が深まるほど、事前予防や対策、リスクを低減するための検討の必要性に気づくことができました。知識の習得により、ベンダーとのコミュニケーションも可能となってきており、今後も根気強く会話を重ねながら対策を強化していきます。

事例集TOP